Gli amministratori di server Microsoft Exchange si ricorderanno certamente dell’ondata di attacchi ProxyShell registrata a partire dall’estate 2021 e mai del tutto conclusa.
D’altra parte i server Exchange contengono e gestiscono una mole di dati personali e aziendali di grande valore che per i criminali informatici rappresenta un bersaglio di primario interesse.
Le vulnerabilità di sicurezza scoperte a più riprese in Exchange sono tra le prime a essere prese di mira dagli aggressori e periodicamente nuovi zero-day mettono in pericolo i dati aziendali.
Bitdefender, leader mondiale nella sicurezza informatica, ha riferito la scoperta di nuovi attacchi ProxyNotShell/OWASSRF che utilizzano vulnerabilità note e catene di exploit per colpire le installazioni on-premises di Exchange.
Gli attacchi di tipo SSRF (Server-Side Request Forgery) contro i server Exchange sono tra i più diffusi: consentono di abusare delle funzionalità di un server vulnerabile inducendolo ad accedere o manipolare informazioni nel regno di quello stesso server che altrimenti non sarebbero direttamente accessibili all’attaccante.
Il potenziale impatto di queste lacune di sicurezza è devastante perché equivale a un’acquisizione completa di un server Exchange da parte dell’aggressore remoto.
Bitdefender invita le aziende a mantenere alta la guardia perché gli attacchi verso Exchange stanno proseguendo e sono destinati ad evolvere rapidamente.
La migliore protezione consiste nell’utilizzo di misure di difesa avanzate che comprendano la gestione delle patch (non solo per Windows, ma per tutte le applicazioni e i servizi esposti a Internet), la valutazione della reputazione di IP/URL, la protezione contro gli attacchi fileless e l’utilizzo di strumenti di prevenzione, rilevamento e risposta.
Bitdefender ha documentato nel dettaglio la catena di exploit che gli aggressori stanno usando per tentare di assumere il controllo dei server Exchange altrui.
L’amministratore di sistema dovrebbe cominciare col ridurre la superficie di attacco assicurandosi che la policy di gestione delle patch sia adeguata e controllando eventuali configurazioni inadeguate. Da parte sua Bitdefender propone la soluzione GravityZone Patch Management che offre uno strumento completo e flessibile per la gestione della sicurezza del sistema operativo e delle applicazioni in ambienti Windows e Linux.
Attraverso scansioni programmate delle patch, gli amministratori possono tenere traccia degli aggiornamenti del sistema operativo, del software installato sui sistemi e di ogni patch per il sistema operativo, nonché dei software installati e delle eventuali correzioni di sicurezza disponibili per tali applicazioni. GravityZone Patch Management consente di impostare finestre di manutenzione automatiche e complete per evitare interruzioni del flusso di lavoro. Consente inoltre l’utilizzo di un server di caching delle patch così da ridurre significativamente l’utilizzo della larghezza di banda per l’installazione delle patch e aumentare la velocità di distribuzione delle stesse.